记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

浅谈2016年医疗行业面临的几种安全威胁

2016-04-02 01:00

2016年伊始,医疗行业就遭遇了多起安全事件,比如洛杉矶医院的勒索软件攻击、德国某医院的勒索软件攻击、病人监护仪和输药管系统的入侵、墨尔本医院的攻击事件等。2016年刚过两个月就发生了如此多起重大安全事件,这是多么可观、又可怕的趋势。

近几年,物联网行业势如破竹般的崛起,从安全角度来看,医疗设备行业作为物联网中一个重要组成部分,其安全问题不容小觑。现代的医疗设备都已经互联网化,操作系统、应用程序等全依托在电脑上(65岁的老中医也被迫要学着使用电脑)。这些设备上配置着精密的尖端技术,目的是帮助医生更好的诊断病情。但和其他工业系统一样,这些设备只注重优化医疗方面的技术,而忽略了网络安全方面的东西。程序设计构架漏洞、不安全的授权、未加密的通信信道、软件中的漏洞,这些都 可能导致医疗设备被黑客入侵。

未授权访问设备会造成很严重的影响:不仅仅是窃取用户重要数据,还会对病人的健康和生命造成重大影响。简简单单就能入侵医院系统,从医疗设备中窃取私人信息,获取设备的访问权限等等,这是多么恐怖的一件事情。想象一个场景,一个真正意义上的目标攻击:一个黑客完全掌控了某医疗设备的控制权限,病情诊断结果和治疗措施可由黑客自由控制,也就是说病人的生死大权已被黑客掌握。

卡巴斯基安全分析大会上曾展示过,找到一个目标医院,获得访问内网权限和控制MRI设备(定位病人病例、个人数据、治疗进程等)是非常简单的一件事情。对于当前的医疗构架来说,单纯解决医疗设备存在的漏洞是完全不够的,它已经千疮百孔,并且人为因素方面的安全防护也急需加强。

未授权访问

其实找到存在漏洞的医疗设备并不难,普通的搜索引擎(比如Shodan)一搜就能发现有数千台医疗设备暴露在网上,黑客可进一步发现联网的MRI扫描仪、心脏病学设备、放射性医疗设备等。这些设备中有很大一部分还是使用Windows XP操作系统,并且有大量可导致远程访问系统的漏洞没有更新补丁,更为甚的是,有些设备一直使用的是默认密码。

9.jpg

笔者对一个医院进行渗透测试,发现了一些可喜的结果,虽然有一些设备联网了,但保护的却很好,没有使用默认密码,web控制界面也没有漏洞。但不得不提的是,还是有很多设备存在问题,而且如果黑客目标就是要进入医院的某个系统,他还是会找到其他的一些入侵方法。

防不胜防:本地网络没界限

我开车到医院,发现医院有很多WiFi访问接口,接口多不是问题,问题是它们的连接密码强度都太低,很容易就可以被破解。利用WiFi密码可以进而访问医院内网,进入内网之后我还发现一些和之前网上搜到的一样的设备,而且我现在还可以连接上它们,因为对于这些设备来说内网是最值得信赖的。医疗设备制造商在生产设备时会保护它们不被外部网络访问,但是却默认内部网络可随意访问,这是一个致命性的错误!

应用层面的漏洞

连接上设备之后,我立刻便能访问设备的控制界面,病人的个人信息、病例、诊断信息一览无余。但这不是我关心的重点,重点是我发现用户界面处有一个命令shell,借此可以访问设备上的文件系统。

99.png

在我看来,这是应用软件设计上的一个严重漏洞,即使不用远程访问,软件工程师为什么要在医生的界面上设置一个命令shell呢?很显然是不应该存在这样一个shell了。这就论证了我上面说的,你可以从一方面保护设备不被入侵,但却没能面面俱到。

关于应用软件还有一个很严重的问题,那就是操作系统还是较老版本的,未更新补丁。事实上,每家医院都应该有一个专业的安全工程师,及时更系统,检测设备是否正常安全的运行。

近几年,医疗设施频繁遭受黑客攻击,而且攻击形式日趋多样性,比如针对性攻击、勒索软件攻击、DDoS攻击等。医疗设备厂商和医院技术团队应该多关注一些医疗设备安全问题,避免成为黑客的攻击目标。

999.png

安全建议

给医院技术人员的几点建议:

1, 关注针对医疗设施的攻击事件,检查自己医院的医疗设施是否也会受到同样的攻击;

2, 熟知技术方面的安全策略,及时更新补丁;

3, 不仅要保护医院设施免受外部威胁,还要保护它不受来自内部网络的攻击,因为黑客可能会先入侵内网后再入侵设备。

* 参考来源:securelist,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

知识来源: www.freebuf.com/articles/network/100545.html

阅读:81257 | 评论:0 | 标签:网络安全 医疗行业 安全威胁

想收藏或者和大家分享这篇好文章→复制链接地址

“浅谈2016年医疗行业面临的几种安全威胁”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词